Gobernanza, gestión de riesgos y cumplimiento (GRC) es el término que cubre el enfoque de una organización en estos tres apartados.
Si bien el acrónimo se utilizó ya en 2003, el primer artículo académico revisado sobre el tema fue publicado en 2007 por el fundador de OCEG, Scott L. Mitchell, en el International Journal of Disclosure and Governance. Este documento innovador influyó, en ese momento, en toda una industria de software y servicios.
Este artículo fue el comienzo de los estándares GRC de código abierto y en él se definió formalmente como "la colección integrada de capacidades que permiten a una organización lograr objetivos de manera confiable, abordar la incertidumbre y actuar con integridad". La investigación se refirió a las actividades comunes de "mantener a la empresa en el camino" que se llevan a cabo en departamentos como auditoría interna, cumplimiento, riesgos, legal, finanzas, TI, RR.HH., así como las líneas de negocio, la suite ejecutiva y el propio directorio.
Por lo tanto, GRC es una disciplina que tiene como objetivo sincronizar la información y la actividad a través de la gobernanza y el cumplimiento para operar de manera más eficiente, permitir el intercambio efectivo de información, informar actividades de manera más efectiva y evitar superposiciones innecesarias.
Individualmente, cada apartado correspondiente tiene un ámbito y una definición:
- La gobernanza está formada por los medios empleados para dirigir y controlar una organización. En GRC, la gobernanza es necesaria para establecer la dirección (a través de la estrategia y la política), monitorizar el desempeño y los controles, y evaluar los resultados.
- La gestión de riesgos es el conjunto de procesos mediante los cuales se identifican, analizan y, cuando es necesario, se responde de forma adecuada a los riesgos. Considerándose el riesgo como un posible evento que podría causar daños o pérdidas, o dificultar la consecución de los objetivos.
- Cumplimiento es el acto de asegurar que se siga un estándar o un conjunto de pautas, o que se empleen prácticas contables u otras prácticas adecuadas y consistentes. El cumplimiento asegura que, dependiendo del contexto, la organización toma medidas e implementa controles para asegurar la conformidad con los requisitos de cumplimiento de manera consistente.
Sin lugar a dudas, el mayor impulsor de GRC es la regulación. Si bien algunos sectores tradicionales como la banca, los seguros, la atención médica y las telecomunicaciones han sido las más afectadas por la regulación en el pasado, la era digital actual está generando un riesgo en la regulación que afecta a todas las entidades, grandes o pequeñas.
El uso de datos, en particular la información de identificación personal, tiene un enorme potencial comercial, así como un abrumador riesgo de abuso. Por lo tanto, los gobiernos y las agencias internacionales están prestando más atención a cómo las empresas digitales administran los datos. El aumento de los ataques cibernéticos, que exponen datos personales, así como la creciente conciencia de las personas y las organizaciones de derechos civiles han arrojado nueva luz sobre cómo las empresas administran la información y la tecnología a través de procesos, personas y cultura de ciberseguridad.
En resumen, un enfoque colectivo es la mejor apuesta para cualquier organización que busque enfrentarse al panorama regulatorio en constante cambio. Cuando la GRC se realiza en toda la organización, las personas adecuadas obtienen la información necesaria en el momento conveniente y se establecen los objetivos y controles correctos, se suele producir una reducción de los costes y del impacto en las operaciones afectadas.
